虚拟专网的接入方法及实现装置

暂无

技术领域\n本发明涉及网络通信技术领域，具体涉及一种虚拟专网的接入方法及实现 装置。\n背景技术\n虚拟专网VPN指的是依靠ISP(Internet服务提供商)和其它NSP(网络 服务提供商)在公用网络中建立的专用数据通信网络。在虚拟专网中，任意两 个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公 众网的资源动态组成。目前常用的VPN技术有2层技术和3层技术。虚拟专用 局域网服务VPLS是一种2层的L2VPN技术，其表现为一个虚拟专网服务VPLS 域就像一个虚拟的2层交换机，同一个VPLS域用户属于同一虚拟专网，能够 相互连通。\n现有技术接入虚拟专网时是以外层VLAN ID虚拟标签作为接入哪个VPLS 域的判断依据。例如，某个城域网运营商提供了VOIP业务，Internet业务， 以及IP TV业务，每种业务都希望通过VPLS接入相应的虚拟专网。于是为每 种业务提供一个虚拟专网服务域VPLS，并以外层VLAN ID作为接入依据，判 断用户应该接入哪个VPLS，从而区分出具体业务类型。\n如果每种业务对应的VPLS域采用一个VLAN ID来接入，那么这个VLAN 会过于庞大，于是通常会使用QinQ双标签技术来隔离，比如外层VLAN ID用 于标识企业类型或其它类型，内层VLAN ID用于标识业务类型。\n但是使用QinQ双标签技术后，当业务的某个用户是个企业，而且拥有它 自己的VPN，那么用户在访问公共资源(运行商提供的业务)时就会出现问题。 例如，所述企业拥有自己的虚拟专网VPN，企业访问公共资源时会分配一个特 定的VLAN用于公共连接，假设分配VLAN20用于VOIP业务。同时，由于采用 了双标签技术，于是在内层标签VLAN20的外面还有一层标签VLAN15，VLAN15 用于标识本企业类型。当所述企业想访问VOIP业务时，需要将QinQ内层VLAN 为20的用户都通过VPLS接入VOIP专网，但是按照现有的虚拟专网接入技术 是以外层VLAN ID作为判断依据，并不识别内层VLAN标签。于是，无法将内 层标签为VLAN20的用户正确接入VOIP专网。\n由此可见，仅以外层VLAN ID作为接入哪个VPLS的判断依据的接入方法， 在组网时缺乏灵活性，尤其在既有公网接入又有私网接入时甚至无法实现。\n发明内容\n本发明要解决的问题是提供一种虚拟专网的接入方法，以解决现有技术仅 以外层VLAN ID作为接入依据，在组网时缺乏灵活性的技术问题。\n为解决上述技术问题，本发明的目的是通过以下技术方案实现的：一种虚 拟专网的接入方法，在交换设备上配置虚拟专网服务VPLS接入路径表；查询所 述VPLS接入路径表，获得输入数据包对应的VPLS域标识；根据VPLS域标识 接入对应的虚拟专网。\n所述VPLS接入路径表包括所有VPLS域下参与接入的虚拟局域网VLAN信 息。\n优选的，从所述输入数据包中取出与配置的VPLS接入路径支持层数对应 的多层VLAN标签，用于查找所述的VPLS接入路径表。\n优选的，当输入数据包的输入端口对应多个不同的VPLS标识，按标签深 度优先匹配VPLS接入路径表中的VLAN标签。\n优选的，当输入数据包的输入端口对应多个不同的VPLS标识，按标签配 置顺序优先匹配VPLS接入路径表中的VLAN标签。\n根据所述VPLS域标识和所述输入数据包的目的媒体接入控制MAC查询转 发表，获取出口路径；\n如果所述转发表中有对应的出口路径，则荻取该出口路径；如果转发表中 没有对应的出口路径，则获取所述VPLS标识对应的全部出口路径。\n优选的，将所述输入数据包的源MAC地址及外层VLAN标签学习到转发表 中。\n一种实现虚拟专网接入的装置，于包括：设置模块，用于配置虚拟专网服 务VPLS接入路径表；查询模块，用于查询所述VPLS接入路径表，获得输入数 据包对应的VPLS域标识；接入模块，用于根据VPLS域标识接入对应的虚拟专 网。\n优选的，还包括学习模块，用于将所述输入数据包的源MAC地址及VLAN 标签学习到转发表中。\n以上技术方案可以看出，本发明由于在交换设备上配置了虚拟专网服务 VPLS接入路径表，在数据包到达后，根据其自身所带的多层VLAN标签查询所 述VPLS接入路径表，获得输入数据包对应的VPLS域标识，即知道输入数据包 需要接入哪个虚拟专网。由此可见，现有技术在虚拟专网接入时，仅仅以外层 VLAN标签为判断接入哪个VPLS的依据，而本发明公开的方法是以多层VLAN标 签为判断依据，进而使得在虚拟专网组网时更加灵活，即使在既有公网接入又 有私网接入时也可灵活实现。\n附图说明\n图1为虚拟专网的组网示意图；\n图2为虚拟专网接入方法第一实施例的实现流程图；\n图3虚拟专网的接入方法第二实施例的实现流程图；\n图4为以表1和表2为具体参照的虚拟专网接入方法的流程图。\n具体实施方式\n本发明的核心在于通过建立VPLS接入路径表，在该表中包括所有VPLS 域下参与接入的VLAN信息：VPLS标识、VLAN标签，以及端口号，从而建立起 VPLS标识与多层VLAN标签及端口的对应关系；当接收到输入数据包后，根据 该数据包的多层VLAN标签查询VPLS接入路径表，得到对应的VPLS域标识， 即可知道输入数据包需要接入哪个虚拟专网。\n为了使本领域的技术人员更好地理解本发明方案，首先介绍虚拟专网及其 组网方式。\nVPN是运营商通过其公网向用户提供的虚拟专有网络，即在用户的角度 VPN是用户的一个专有网络。对于运营商来说公网包括公共的骨干网和公共的 运营商边界设备。地理上彼此分离的VPN成员站点通过客户端设备(CE)连接 到对应的运营商边界设备(PE)上，进而通过运营商的公网组成客户的VPN 网络。目前常用的VPN技术有2层技术和3层技术。虚拟专用局域网服务VPLS 是一种点到多点的2层VPN。本发明所公开的技术方案主要针对的就是2层虚 拟专网VPLS。请参阅图1，其为虚拟专网的组网示意图。\n组网系统中包括公网和私网。其中，公网包括两个骨干网设备和3个运营 商边界设备(PE)，其中第一骨干网设备4分别与第一运营商边界设备6和第 二运营商边界设备7相连，第二骨干网设备5分别与第一运营商边界设备6 和第三运营商边界设备8相连；私网是虚拟专网VPLS 1，VPLS 1由三个站点 组成，每个站点通过用户网络边沿设备(CE)连接到对应的运营商边界设备(PE)， 进而通过运营商的公网组成客户的VPN网络(VPLS 1)。具体的连接关系如下： 第一用户网络边沿设备(CE)1连接到第一运营商边界设备(PE)6上，第二 用户网络边沿设备(CE)2连接到第二运营商边界设备(PE)7上，第三用户 网络边沿设备(CE)3连接到第三运营商边界设备(PE)8上。第一PE 6和第 二PE 7以及第三PE 8之间通过第一骨干网设备4和第二骨干网设备5进行信 息传递。\nMPLS(Multi-Propocol Label Switching)即多协议标记交换技术，提供 了类似于虚电路的标签交换业务，这种基于标签的交换可以提供类似于帧中 继、ATM的网络安全性。MPLS技术属于第三代网络架构，是新一代的IP高速 骨干网络交换标准，图中所示的VPLS就是通过MPLS进行连接的VPLS，MPLS 能够进行广域组网，所以VPLS能够实现广域组网。\n虚拟专网的组网方式如上所述，由于虚拟专网的需求日益增多，运营商提 供的业务种类也日趋完善，每种业务都希望通过VPLS接入相应的虚拟专网。 于是接入哪个虚拟专网的问题随之而来。下面结合本发明公开的虚拟专网接入 方法的实施例进一步详细说明。\n请参照图2，其为虚拟专网接入方法第一实施例的实现流程图：\n步骤201：在运营商侧边沿设备PE上配置VPLS接入路径表，所述VPLS接入 路径表包括所有VPLS域下参与接入的虚拟局域网VLAN信息：VPLS标识、VLAN 标签，以及与其对应的连接端口信息。\n虚拟专用局域网服务VPLS是一种2层的VPN技术，是一种点到多点的L2 VPN，其表现为一个VPLS域就相当于一个虚拟的2层交换机，同一个VPLS域用户 属于同一虚拟专网，能够相互连通。其中，所述多层虚拟局域网为私网或公网。\n下面以支持两层VLAN为例，配置的VPLS接入路径表如下表1所示：\n在表1：\n  接入VPLS ID   端口   外层VLAN ID   内层VLAN ID   2   -    -   5   2   1   12   6   3   -    -   10   4   3   10   5\nVPLS ID是表明某个VPLS域的一个标识，标识相同，表明接入是同一个 VPLS域，即属于同一个虚拟专网。外层VLAN ID、内层VLAN ID，指明只有满 足VLAN ID条件的才能接入该VPLS。端口是以太网接入的端口，所述端口可 以是一个以太网端口，也可以是一条多协议标签交换(MPLS)链路(PW)对应 的虚端口。MPLS虚链路对应的是网络侧过来的数据包，虚端口与VPLS是-- 对应的关系，因此如果VPLS接入路径表中有MPLS虚链路时，无需为该路径配 置VLAN ID。\n端口、外层VLAN ID和内层VLAN ID支持通配，也就是该值为任意值都 匹配。例如第3条记录表明，只要内层VLAN ID是10，无论端口、外层VLAN ID 是什么值都接入VPLS 3。\n上表示出了VPLS ID分别为2、3和4中参与接入的路径信息，由外层VLAN 标签、内层VLAN标签(配置VLAN的层数与需要支持接入的VLAN层数一致，本实 施例以两层为例)和端口号构成。其中，每层VLAN的取值范围是1∽4094，“-” 表示可以任意匹配该层的VLAN。\nVPLS ID为2的VPLS域中的配置信息如下：\n第1条配置信息表示内层VLAN为VLAN 5，外层VLAN和端口号可以为任意值；\n第2条配置信息表示端口1的外层VLAN为VLAN 12，内层VLAN为VLAN 6。\n上述两条记录表示了VPLS ID为2的VPLS域中的两条接入路径。\nVPLS ID为3的VPLS域中的配置信息如下：\n第3条配置信息表示内层VLAN为VLAN 10，外层VLAN和端口号为任何值都可 以。\nVPLS ID为4的VPLS域中的配置信息如下：\n第4条配置信息表示端口3的外层VLAN为VLAN 10，内层VLAN为VLAN 5；\n在配置时，可以根据实际需要定义表1中VLAN标签的层数，配置不同层次 的VLAN标签。如果需要支持两层标签的VLAN接入，则配置两层VLAN标签，如果 支持三层标签的VLAN接入，则配置三层VLAN标签。\n步骤202：从输入数据包中取出与配置的接入路径支持层数对应的多层标 签VLAN ID。配置的接入路径能支持几层VLAN标签，就最多取数据包的最外几 层VLAN标签。\n步骤203：以多层VLAN ID查询VPLS接入路径表。\n步骤204：判断是否查中，得到对应的VPLS标识。如果查找到对应的VPLS 标识，则进入步骤205；如果查不中，则进入步骤206：不接入任何VPLS进行其 他处理。\n交换设备收到输入数据包后，知道该数据包来自哪个端口，根据该端口号 和取到的多层VLAN标签查询VLAN接入路径表，匹配VPLS接入路径表中的VLAN 标签，得到对应的VPLS ID，这样就得到这个VLAN应该接入哪个VPLS域。\n当输入数据包的输入端口对应多个不同的VPLS ID时，匹配VLAN标签时 VLAN标签的命中可以按深度优先或者按配置顺序优先原则进行匹配。\n所谓深度优先原则是指优先命中精度高的VLAN标签，例如，如果端口3 来了一个外层VLAN ID为10，内层VLAN ID为5的数据包，同时能够满足第1 条记录和第4条记录，但第4条记录的精度高于第1条记录，即端口、外层 VLAN ID为10和内层VLAN ID为5三个内容都能匹配上，精度最高，所以接 入的VPLS域是VPLS 4。这时，需要将两层VLAN标签都剥离。\n所谓配置顺序优先原则是指按照VLAN接入路径表中的配置顺序进行匹 配，以最先满足匹配要求的记录为匹配记录。因此，上段中所述端口 3/VLAN10/VLAN5的数据包按照配置优先原则，优先匹配的是第一条记录，所 以接入的VPLS域是VPLS 2。\n步骤205：学习数据包的源媒体接入控制MAC地址、端口以及外层VLAN ID， 以便回来的数据包能够准确恢复原来的多层VLAN ID。\n本领域技术人员知道，二层交换是基于网络节点的MAC地址对数据进行转 发，转发时需要建立地址转发表，在该地址转发表中表明了MAC地址与端口的 对应关系。本发明同样需要建立一个转发表来表明VLAN数据包的转发关系， 具体交换到哪个端口。本发明建立的转发表包括以下信息：VPLS ID、MAC地 址、VLAN标签以及端口号。该表是根据输入数据包中的源MAC地址和外层VLAN 标签学习后建立起来的，因此，当初次访问该表时并不能获得所需的出口路径 信息。\n例如，学习后得到的MAC地址转发表如下表2所示：\n表2MAC地址转发表\n  VPLS  ID   MAC地址   外层VLAN   标签   端口号   2   0x12345678   50   1   2   0x12345679   12   2   3   0x12345689   10   3\n步骤207：以VPLS ID和目的MAC查询MAC地址转发表。\n步骤208：判断是否查中。\n如果能够命中MAC地址转发表，则进入步骤209：按照VPLS ID，直接将 所述数据包发送到指定端口，这个端口包括VPLS接入侧的以太网端口和VPLS 网络侧的MPLS链路(PW)，对于以太网端口封装好相应的外层VLAN，对于虚 端口按原来的处理保持不变。\n如果不能够命中MAC地址转发表，则进入步骤210：得到VPLS ID对应的 全部端口，将数据广播到所有端口，所有广播数据封装端口对应的外层VLAN ID。如果VLAN ID是通配，则转发全部相应的VLAN。根据VPLS规范，如果数 据包是网络侧过来，不能广播给网络侧，即虚端口。\n本发明还公开了虚拟专网的接入方法第二实施例的实现流程图，请参阅图 3：\n步骤301：在运营商侧边沿交换设备PE上配置VPLS接入路径表，所述VPLS 接入路径表包括所有VPLS域下参与接入的虚拟局域网VLAN信息：VPLS标识、 VLAN标签，以及与其对应的连接端口信息。\n步骤302：从输入数据包中取出与配置的接入路径支持层数对应的多层 VLAN标签。配置的接入路径能支持几层VLAN标签，就最多取数据包的最外几 层VLAN标签。\n步骤303：以多层VLAN ID查询VPLS接入路径表。\n步骤304：判断是否查中。\n如果查中，得到对应的VPLS ID进入步骤305；查不中进入步骤306：不 接入任何VPLS，进行其他处理。\n步骤305：以VPLS ID和目的MAC查询MAC地址转发表。\n步骤307：判断是否查中。\n如果能够查中MAC地址转发表，则进入步骤308：直接将所述数据包发送 到指定端口；如果不能够命中MAC地址转发表，则进入步骤309：得到VPLS ID 对应的全部端口，将数据广播到所有端口，所有广播数据封装端口对应的多层 VLAN ID。如果VLAN ID是通配，则转发全部相应的VLAN。根据VPLS规范， 如果数据包是网络侧过来，不能广播给网络侧，即虚端口。\n此外，还要将数据包的VPLS ID、入VLAN的两层(或多层)标签、入端 口和源MAC地址学习到转发表中，即步骤310：学习入口的两层(或多层)VLAN 标签、源MAC地址和端口学习到MAC地址转发表中。\n上述第二实施例和第一实施例的主要区别在于：在学习输入数据包的标签 时，第一实施例学习的仅仅是外层VLAN标签，而第二实施例学习的是两层(或 者多层)VLAN标签。这是因为：一种情况，如果存在内层VLAN ID，VPLS不 改变内层的VLAN ID，则需要透传内层VLAN ID；另一种情况则不需要透传内 层VLAN ID，相当于把多层VLAN ID组合成一个VLAN ID来看待，相当于扩展 了VLAN ID的范围。因此，两种学习方式都可以。此外，第一实施例中的学习 步骤设置在查询转发表步骤之前，而第二实施例的学习步骤设置在查询转发表 步骤之后。简而言之，学习步骤既可以设置在查询转发表之前，也可以在之后， 其位置是灵活的，并不局限于上述两个实施例所示。\n上述两个优选实施例中的VPLS接入路径表可以拆分成两个表，一个用来 配置以太网端口和两层VLAN，另一个用来配置MPLS虚链路(PW)。同样MAC 地址转发表也一样分开为2个表，这样对于MPLS虚链路对应的表项不用做任 何改变。对于以太网接入的报文只需查询以太网端口配置表，但广播时查询 VPLS对应接口时需要查询两个表，转发时也需要同时查询两个转发表。\n此外，如果是大规模的接入网络，使用本发明的公开方法可以限制接入侧 广播和转发，例如接入VOIP，接入Internet，接入某个网络，要求接入侧的 数据之间不能互通和广播，也就是接入侧是不能直接转发数据的，这种情况下 用户侧的数据只可能向有关虚端口转发或广播。\n下面参照表1所示VPLS接入路径表的接入路径以及表2所示MAC地址转 发表的转发路径，进一步说明多层VLAN的虚拟专网接入过程。所述工作流程 如图4所示：\n首先，在步骤401：从交换设备的端口1进入一个外层VLAN为8，内层 VLAN为5的数据包。\n步骤402：从数据包中获得两层VLAN标签VLAN 8/VLAN 5.\n然后进入步骤403：以端口号1和两层标签VLAN 8/VLAN 5查询表1所示 的VPLS接入路径表，得到接入的VPLS标识2。\n步骤404：以VPLS 2和目的MAC 0x12345679查询表2所示的MAC地址转 发表。\n根据表2所示MAC地址转发表所示转发路径，得到VPLS标识为2、目的 MAC地址为0x12345679的出口路径是端口2，而且对应的外层VLAN标签为12。 于是进入步骤405：封装好外层标签VLAN 12，将数据包发送至端口2。\n本发明还公开了一种实现虚拟专网接入的装置，所述装置包括设置模块、 查询模块以及接入模块以及学习模块。\n设置模块用于配置虚拟专网服务VPLS接入路径表，所述VPLS接入路径表 包括所有VPLS域下参与接入的虚拟局域网VLAN信息：VPLS标识、VLAN标签， 以及与其对应的连接端口信息。VPLS ID是表明某个VPLS域的一个标识，标 识相同，表明接入是同一个VPLS域，即属于同一个虚拟专网。外层VLAN ID、 内层VLAN ID，指明只有满足VLAN ID条件的才能接入该VPLS。\n查询模块，用于查询所述VPLS接入路径表，获得输入数据包对应的VPLS 域标识。数据包进入后，查询模块根据所述数据包的入端口和多层VLAN ID 查询设置模块中配置的VPLS接入路径表，进而获得对应的VPLS域标识，即 VPLS ID。查询模块中还包括优先匹配子模块，用于设置两种匹配模式：深度 优先和配置顺序优先。当输入数据包的输入端口对应多个不同的VPLS ID时， 匹配VLAN标签时VLAN标签的命中可以按深度优先或者按配置顺序优先原则进 行匹配。所谓深度优先原则是指优先命中精度高的VLAN标签。所谓配置顺序 优先原则是指按照VLAN接入路径表中的配置顺序进行匹配，以最先满足匹配 要求的记录为匹配记录。\n接入模块，用于根据VPLS域标识接入对应的虚拟专网。本领域的技术人 员都知道同一个VPLS域的用户属于一个虚拟专网VPN，因此得到对应的VPLS 域标识后，即相当于知道了应该接入哪个虚拟专网。获得输入数据包的VPLS 标识后，将所述数据包封装外层或多层VLAN标签，发送到该VPLS域对应的端 口。\n所述实现虚拟专网接入的装置还包括学习模块，用于将所述输入数据包的 源MAC地址及VLAN标签学习到MAC转发表中，以便回来的数据包能够准 确恢复原来的多层VLAN ID。\n以上对本发明所提供的虚拟专网的接入方法及实现装置进行了详细介绍， 本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的 说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般 技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处， 综上所述，本说明书内容不应理解为对本发明的限制。